ビーバーからログスタッシュ インデクサーに送信されたレール ログ エントリを解析しようとしています。しかし、特定のエントリはフィルターセクションにまったく入力されていませんが、元の状態 (つまり、フィールドが抽出されていない) で私のキバナダッシュボードに表示されています。
beaver conf
path:[path to the log]
exclude:[.gz]
multiline_regex_before = ^\s+
multiline_regex_after = ^F
基本的に、改行して F で始まるものはすべて複数行のエントリです。
logstash conf
input {
sqs{ ------parameters for the queue------- } }
filter {
grok {
match => ["message","%{NOTSPACE:level}, \[%{TIMESTAMP_ISO8601:timestamp} #%{POSINT:pid}\]%{SPACE}%{LOGLEVEL:event_level} -- %{GREEDYDATA:info}"] }
multiline {
pattern => ^F
what => next
negate => false
}
output {
elasticsearch_http {
host => "host
address" port "80" }
}
サンプル ログ エントリ:
E, [2015-03-10T10:52:34.125841 #26480] ERROR -- : [1;32mDeface:[0m 'auth_shared_login_bar' matched 0 times with 'li#search-bar'</b>